انستجرام يصلح خلل المعلومات الشخصية عند التسجيل في حساب على Instagram فان الخدمة التفاصيل الشخصية لا تكون ظاهرة للجمهور فإن الثغرة الأمنية التي اكتشفها الباحث Saugat Pokharel سمحت له بالحصول على هذه التفاصيل الشخصية بسهولة تم تصحيح الخطأ بعد أن أبلغ عنه facebook ويمكن استعماله من حسابات التجاري المصرح لها بالوصول إلى الميزة التجريبية التي تجربها الشركة.
استخدم المخترقين أدوات حساب التجاري التي يمكن استخدامها لأي حساب Facebook للأعمال إذا كان حساب الأعمال في Facebook مرتبطًا بحساب في Instagram وتم تضمينه في مجموعة التجربة فستعرض أداة حساب الاعمال التفاصيل أخرى حول المستخدم بما في ذلك عنوان بريده الخاص و تاريخ مولدك كل ما يتعين على المستخدم حساب لأعمال القيام به هو إرسال رسالة فورية على Instagram لطلب التفاصيل.
اكتشف Boukharel أن الهجوم ينفذ من خلال حسابات خاصة لم تقبل رسائل الفورية من الجمهور إذا كان الحساب لا يقبل المراسلة الفورية فقد لا يتلقى الشخص أي إشعار بأن حسابه قد تم اختراقه كما صرح Facebook "لم يكن من الممكن العثور إلى الثغرة الأمنية إلا لفترة صغيرة منذ بدء التجربة في شهر 10".
ولم تصرح Instagram عن عدد الأشخاص المصرح لهم باستخدام الميزة الفريدة لكنها قالت: هذا اختبار صغير والتحقيق لم يجد أي بوادر إساءة و قال Boukharel عثروا في شهر8 أن Instagram لم يحذف المنشور المحذوف حل مهندسين Facebook المشكلة في غضون قليل من الوقت.
كما ناقشت Facebook قد قدم الباحث بلاغ و تقرير حول المشكلة لذا إذا شارك شخص ما في الاختبار الصغير لحساب تجاري استخدمناه في أكتوبر فيمكنه الكشف عن التفاصيل الشخصية للشخص الذي تواصل معه ولكن تم حل المشكلة بسرعة البرق وتم تقديم مكافئة مالية للباحث الذي اكتشف الثغرة وأضافت: تم حل هذه المشكلة بسرعة، ولم نكتشف أي دليل على إساءة الاستخدام، وقمنا من خلال برنامج Bug Bounty بمكافأة هذا الباحث على مساعدته في إبلاغنا بهذه المشكلة.
تعليقات
إرسال تعليق